Regulamin konkursu – jak uregulować kwestię przetwarzania danych osobowych

Marcin Sarna

Autor: Marcin Sarna

Dodano:
Dokument archiwalny
Regulamin konkursu – jak uregulować kwestię przetwarzania danych osobowych
Pytanie:  Spółka często organizuje konkursy, w których uczestniczą osoby prywatne. W regulaminach konkursów są zawarte regulacje dotyczące kwestii przetwarzania danych osobowych – wskazany jest administrator danych, cel, w jakim dane będą przetwarzane (realizacja konkursu i prawnie usprawiedliwiony cel administratora danych), i klauzula, zgodnie z którą przekazując swoje dane osobowe, uczestnik zgadza się na ich przetwarzanie. Czy takie zapisy są wystarczające? Jakie inne obowiązki się z tym wiążą?
Odpowiedź: 

W regulaminie konkursu nie należy wskazywać, że dane osobowe uczestników będą przetwarzane w prawnie usprawiedliwionym celu administratora danych. Administrator ma takie prawo na podstawie art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych. Pozwala on na przetwarzanie danych, gdy jest to niezbędne do wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Uprawnienie to wynika więc bezpośrednio z przepisów prawa i nie jest do jego powstania lub wykonywania konieczne uzyskanie osobnej zgody podmiotu, którego dane dotyczą.

Dane osobowe uczestników konkursu są zbiorem danych, odpowiadają bowiem definicji tego pojęcia z art. 7 pkt 1 ustawy o ochronie danych osobowych („każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie”).

Taki zbiór powinien więc być zgłoszony do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Z obowiązku rejestracji zwolnione są podmioty przetwarzające zbiory, o których mowa w art. 43 ust. 1 ustawy o ochronie danych osobowych. Pamiętaj, że zwolnienie zbioru z rejestracji jest możliwe jedynie w przypadku, gdy wyjątek dotyczy wszystkich danych zawartych w tym zbiorze. Jeżeli w spółce został powołany administrator bezpieczeństwa informacji, nie trzeba zgłaszać zbioru danych do GIODO.  ABI wpisuje go jedynie do jawnego rejestru zbiorów danych.

PRZYKŁAD

Nie trzeba traktować danych osobowych uczestników poszczególnych konkursów jako osobnych zbiorów danych osobowych, np. „Zbiór danych uczestników konkursu A”, „Zbiór danych uczestników konkursu B” itd. Można utworzyć jeden zbiór danych o nazwie „Zbiór danych uczestników konkursów” o najszerszym zakresie danych, jakie są przetwarzane.

Jeżeli w konkursie A są zbierane tylko imię, nazwisko i adres e-mail, a w konkursie B także numer PESEL i adres miejsca zamieszkania, to tworząc „Zbiór danych uczestników konkursów”, należy wskazać, że zawiera on imiona, nazwiska, adresy e-mail, numery PESEL oraz adresy miejsca zamieszkania uczestników konkursów.

---

Jeżeli pracownik ma przetwarzać dane osobowe, to powinien zostać do tego celu imiennie upoważniony. Upoważnienie musi zostać udzielone konkretnej osobie fizycznej do przetwarzania określonego zbioru danych osobowych. To, czy osoba upoważniona może jedynie odczytywać dane ze zbioru danych czy też go modyfikować (np. zaktualizować adres miejsca zamieszkania zwycięzcy konkursu, do którego ma zostać przesłana nagroda) powinno wynikać z treści samego upoważnienia.

Marcin Sarna

Autor: Marcin Sarna

radca prawny, ekspert z zakresu ochrony danych osobowych

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Biblioteka ABI

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl
Strona używa plików cookies. Korzystając ze strony użytkownik wyraża zgodę na używanie plików cookies.
wiper-pixel